高校校園網(wǎng)絡安全分析及策略研究

◆肖坤峨

高校校園網(wǎng)絡安全分析及策略研究

◆肖坤峨

（德宏師范高等專科學校 云南 678400）

隨著校園信息化的建設(shè)和使用，高校校園網(wǎng)絡與學校的教學、科研、管理等工作聯(lián)系越來越緊密，網(wǎng)絡的正常運轉(zhuǎn)深深地影響著學校的各項工作，一旦網(wǎng)絡出現(xiàn)安全問題，后果不堪設(shè)想。本文從高校的網(wǎng)絡特點出發(fā)分析了目前高校網(wǎng)絡面臨的安全威脅，并提出了解決網(wǎng)絡安全問題的對策和措施。

高校；網(wǎng)絡安全；對策研究

0 引言

隨著計算機技術(shù)和網(wǎng)絡技術(shù)的快速發(fā)展，計算機網(wǎng)絡對我們的衣食住行等方方面面產(chǎn)生了非常大的影響，同時也賦予了教育新的內(nèi)涵和要求，不斷地在改變著教師的教育方式和學生的學習方式，特別在高等教育領(lǐng)域，網(wǎng)絡規(guī)模大、信息點多，承載了高校教學、科研、管理及服務等數(shù)字化應用。高校校園網(wǎng)絡覆蓋了高校的每個角落，在辦公、教學、科研、學生管理、資產(chǎn)管理、人事管理、財務管理、圖書借閱、食堂、超市等各個方面，甚至實現(xiàn)了各網(wǎng)絡應用子系統(tǒng)的綜合集成和互連互通，信息化建設(shè)投入少則幾百萬、多則幾千萬，成為了高校的重要基礎(chǔ)設(shè)施。如圖1所示，某高校的校園網(wǎng)絡組織結(jié)構(gòu)。高校校園網(wǎng)絡的信息化建設(shè)提高了管理部門的管理效率和決策水平，提升了教師的教育科研能力，豐富了高校校園文化生活。學校師生的工作、生活、學習越來越離不開校園局域網(wǎng)，網(wǎng)絡的正常運轉(zhuǎn)深深地影響著學校的各項工作，一旦出現(xiàn)故障，會波及到學校各項工作的正常進行，隨著學校規(guī)模的不斷擴大、網(wǎng)絡節(jié)點不斷增多，網(wǎng)絡安全問題越發(fā)突出。因此，如何構(gòu)建一個安全的高校校園網(wǎng)絡，是每一個高校領(lǐng)導和網(wǎng)絡部門負責人需要面對和解決的問題。

圖1 某高校網(wǎng)絡組織結(jié)構(gòu)

1 高校校園網(wǎng)絡安全現(xiàn)狀及存在問題

目前很多高校的網(wǎng)絡主干都實現(xiàn)光纖專線接入運營商，網(wǎng)速普遍達到上萬兆，園區(qū)普遍實現(xiàn)100M甚至1000M到樓到桌面，而且大部分高校已經(jīng)建成覆蓋整個校園的無線網(wǎng)絡，存在網(wǎng)絡建設(shè)投入力度大，用戶信息點多，應用范圍廣等特點，但同時也存在很多安全方面的隱患，比如火災、斷電、黑客攻擊、病毒感染及其它很多人為方面的因素。主要存在以下幾個方面的安全問題：

1.1自然威脅因素

自然威脅指可能來自于各種自然災害，如地震、火災、水災、靜電、雷擊等。網(wǎng)絡設(shè)備在惡劣的環(huán)境下會對數(shù)據(jù)的傳輸造成不小影響，還有如電磁輻射和干擾、網(wǎng)絡設(shè)備老化等因素都會影響網(wǎng)絡安全。據(jù)教育部門對高校的安全隱患調(diào)查反映，部分高校信息化建設(shè)時考慮不充分、綜合布線不規(guī)范，中心機房及學生機房、實驗室沒有考慮UPS不間斷電源，中心機房及各管理間、設(shè)備間缺少防火措施及環(huán)境的溫濕度控制，無網(wǎng)絡監(jiān)控系統(tǒng)，樓道、機房排線時，沒有考慮強電線路對弱電線路的電磁干擾。

1.2使用主體網(wǎng)絡安全意識薄弱

高校的師生是網(wǎng)絡使用的主體，數(shù)量成千上萬，網(wǎng)絡終端多種多樣（計算機、手機及其它智能設(shè)備），主要以計算機為主，數(shù)量巨大。師生員工都掌握一定的計算機基礎(chǔ)知識，但水平層次不齊，部分師生員工在校園網(wǎng)內(nèi)使用的計算機連最基本的殺毒軟件都沒有安裝，電腦或系統(tǒng)設(shè)置過于簡單的密碼或沒有設(shè)置，共享文件時沒有考慮權(quán)限，沒有及時為系統(tǒng)“打補丁”或封掉不常用的端口，隨意拔插移動存儲設(shè)備等，使用時沒有較強的網(wǎng)絡安全意識和處理問題的能力。部分師生認為自己使用的電腦處于校園網(wǎng)的內(nèi)部，認為有學校在保護我們，缺乏網(wǎng)絡安全常識，意識淡薄。另高校是培養(yǎng)高素質(zhì)專業(yè)技術(shù)人才的地方，經(jīng)過幾年的學習大部分同學都掌握了一定的專業(yè)知識，少數(shù)專業(yè)能力突出的同學出于好奇通過編寫程序或使用工具對校園網(wǎng)絡進行攻擊，竊取機密數(shù)據(jù)或?qū)е滦@網(wǎng)絡癱瘓。

1.3高校校園網(wǎng)絡管理存在缺陷

雖然各高校都有相關(guān)部門如網(wǎng)絡中心、信息中心來負責校園網(wǎng)絡的建設(shè)與維護，但大部分高校都存在重建設(shè)、輕管理現(xiàn)象，缺少一套完善的校園網(wǎng)絡安全管理制度。很多高校投入重金，由運營商或公司負責建設(shè)數(shù)字校園或智慧校園，實現(xiàn)了高校校園網(wǎng)絡的信息化、數(shù)字化、智慧化，由于相關(guān)網(wǎng)絡管理制度建設(shè)跟不上步伐，隨后使用過程中出現(xiàn)很多網(wǎng)絡安全隱患，如隨意私接網(wǎng)線，部門個人私自安裝接入層網(wǎng)絡設(shè)備，網(wǎng)絡管理員無暇顧及這些問題，他們大部分時間忙于處理各種日常的電腦故障、網(wǎng)絡接入、應用系統(tǒng)及服務器日常維護工作，點多面大。高校校園面積大，網(wǎng)絡設(shè)備間分散在各教學樓、實驗樓、宿舍樓，防護措施簡易，有的設(shè)備間門鎖形同虛設(shè)，強電弱電管理共用房間，涉及多個部門，缺少安全管理主體，出現(xiàn)事故時容易出現(xiàn)推諉。

1.4黑客網(wǎng)絡攻擊

黑客利用系統(tǒng)存在的漏洞或其它安全缺陷對校園網(wǎng)內(nèi)的硬件和軟件進行攻擊，攻擊目的明確，非法獲取服務器或主機上的重要數(shù)據(jù)，如科研數(shù)據(jù)、學生基本信息、成績等，或通過信息炸彈、拒絕服務等手段攻擊服務器、網(wǎng)絡設(shè)備，造成服務器癱瘓、網(wǎng)絡堵塞，攻擊手段多種多樣、目的各異，甚至反動分子攻擊學校的校園主站以宣傳反面政治思想，影響學生的人生觀、價值觀和世界觀。當然也存在來自校園內(nèi)部師生的攻擊，好奇心強的學生利用相關(guān)工具對教務系統(tǒng)進行非授權(quán)訪問，進而修改成績數(shù)據(jù)，對學校心存不滿的職工對應用系統(tǒng)進行非授權(quán)訪問，竊取機密數(shù)據(jù)或破壞系統(tǒng)。

1.5計算機病毒入侵

病毒是社會生活中最常見的一大網(wǎng)絡安全威脅，它是對計算機、網(wǎng)絡具有破壞性的一組程序代碼或指令，它能通過某種途徑潛伏在計算機的存儲介質(zhì)或程序里，當達到某種條件時即被激活，通過修改其他程序的方法將自己復制或者可能演化的形式方式其他程序中，從而感染其他程序，對計算機資源進行破壞，輕則計算機速度變慢，重則系統(tǒng)崩潰、硬件損壞、網(wǎng)絡癱瘓。在高校校園網(wǎng)絡中也經(jīng)常發(fā)生病毒感染的現(xiàn)象，如2017年5爆發(fā)的勒索病毒，高校是重災區(qū)，部分高校的師生受到該病毒的攻擊之后文件、論文不能正常打開，給師生造成了很嚴重的損失。學校的各項工作與網(wǎng)絡運轉(zhuǎn)息息相關(guān)，一旦校園網(wǎng)絡受到病毒感染，如果不能及時查殺及清除，勢必會對學校的教學、科研、管理造成很大的影響。

1.6軟件系統(tǒng)存在漏洞

任何軟件系統(tǒng)包括系統(tǒng)軟件和應用軟件都或多或少存在一些漏洞，然而在高校校園里90%以上的師生使用的都是Windows系列的操作系統(tǒng)，使用用戶多，是黑客分析找漏洞的重點，一旦找到，黑客就會編寫程序利用漏洞來攻擊用戶的電腦，攻擊網(wǎng)絡。服務器的網(wǎng)絡操作系統(tǒng)相對較安全，但也同樣存在這樣那樣的缺點和不足，部分網(wǎng)絡操作系統(tǒng)安全性相對較高，如Linux、UNIX、Solaris，都是命令方式操作，非網(wǎng)絡管理人員不易掌握，對管理員是一種挑戰(zhàn)。高校老師或?qū)W生自己也研發(fā)部分軟件系統(tǒng)，少數(shù)應用系統(tǒng)開發(fā)時只考慮功能的實現(xiàn)，沒有考慮其安全性，使用過程中問題層出不窮，成為黑客攻擊的重點目標。

2 高校校園網(wǎng)絡安全的對策研究

2.1加強網(wǎng)絡安全意識，健全網(wǎng)絡安全管理制度

加強網(wǎng)絡管理者和使用者的網(wǎng)絡安全意識。首先，強化網(wǎng)絡管理員的責任意識，愛崗敬業(yè)，制定相應獎懲措施，不斷提高網(wǎng)絡管理員的技術(shù)水平，包括到企業(yè)頂崗鍛煉或外出參加網(wǎng)絡相關(guān)的技術(shù)培訓，或通過網(wǎng)絡在線學習、自學等方式提升自己的業(yè)務水平，學校應該出臺相應政策鼓勵網(wǎng)絡管理員去獲取網(wǎng)絡方面的認證，通過以考促學的方式，切實提升專業(yè)技術(shù)能力，建立一支業(yè)務水平高、分工明確的專業(yè)網(wǎng)絡維護隊伍，確保高校校園網(wǎng)絡的安全。其次，通過培訓、講座、專題網(wǎng)站等多種手段向使用者宣傳網(wǎng)絡安全知識、網(wǎng)絡安全法律法規(guī)，如不隨意打開來歷不明的電子郵件及文件，不隨意從Internet上下載軟件，密碼設(shè)置要達到一定的復雜度要求，及時下載和安裝系統(tǒng)補丁程序，經(jīng)常使用掃描工具，及時發(fā)現(xiàn)漏洞和采取相應措施，文明上網(wǎng)、安全用網(wǎng)，提高使用者網(wǎng)絡安全意識。第三，制定網(wǎng)絡安全管理制度，建立數(shù)據(jù)中心機房網(wǎng)絡管理制度，規(guī)范中心管理，如未經(jīng)允許不得隨意進入機房，網(wǎng)絡設(shè)備及服務器操作規(guī)范、排線規(guī)范、故障處理或檢查有日志記錄，機房衛(wèi)生干凈整潔，設(shè)備外借管理，經(jīng)常定期檢查。加強防火意識，實時通過網(wǎng)絡監(jiān)控軟件對中心機房進行監(jiān)控，掌握機房溫度、濕度及設(shè)備運轉(zhuǎn)情況，入網(wǎng)軟件、個人備案或向相關(guān)部門申請；建立違規(guī)使用校園網(wǎng)的懲罰措施，杜絕不安全不文明的網(wǎng)絡行為；建立校園網(wǎng)絡維護分級維護辦法，校系兩級分級負責，職責清晰；建立網(wǎng)絡設(shè)備和服務器維護管理方案，使用網(wǎng)絡管理系統(tǒng)實時加強網(wǎng)絡設(shè)備的管理，及時掌握故障點，未經(jīng)允許不得對服務器或設(shè)備進行配置，服務器做到專機專用；建立各實驗室、機房、處室計算機設(shè)備故障、線路故障處理辦法，讓師生員工知道找誰進行處理，建立健全網(wǎng)絡管理人員及部門負責人的職責，確保網(wǎng)絡管理無死角。

2.2部署防火墻和設(shè)置訪問控制策略

在高校的內(nèi)部網(wǎng)和外網(wǎng)之間建立一道屏障，即安裝防火墻設(shè)備，監(jiān)視通過防火墻的每一個數(shù)據(jù)包和異常行為，設(shè)置防火墻訪問控制策略，防止校園外部用戶通過非法手段攻擊內(nèi)網(wǎng)，非法訪問內(nèi)部資源，從而保護校園內(nèi)部的網(wǎng)絡安全。在校內(nèi)重要業(yè)務部門和其它部門之間也可建立防火墻，或在主干核心交換機上安裝防火墻卡，防止內(nèi)部人員的攻擊。通過防火墻檢查數(shù)據(jù)包包頭信息可以過濾掉一些不安全的服務和非法用戶，防止非授權(quán)訪問，可以保護校內(nèi)的部分服務器、主機或網(wǎng)站不能被外部用戶訪問，但有的是防火墻不能阻擋的，如受病毒感染的文件的傳遞，木馬程序，所以還需要殺毒軟件、入侵檢測系統(tǒng)的配合使用。

2.3安裝殺毒軟件

計算機病毒傳播速度快、破壞性強，高校相關(guān)部門需要出臺相應措施進行預防，除了建立安全管理制度外，還需要選擇使用合適的防病毒軟件，考慮軟件的查殺病毒能力、占用資源情況、價格等因素。然而，高校內(nèi)部網(wǎng)絡終端多，一部分是學校統(tǒng)一購買統(tǒng)一維護，一部分是師生自己購買維護，計算機系統(tǒng)復雜。根據(jù)該特點，高校一般選擇使用網(wǎng)絡版的殺毒軟件，建立服務器端，終端安裝客戶端軟件，實現(xiàn)對聯(lián)網(wǎng)電腦統(tǒng)一查殺，及時自動更新病毒庫，提高病毒預防預警能力。

2.4應用入侵檢測系統(tǒng)和網(wǎng)絡管理系統(tǒng)

入侵檢測是指通過對行為、安全日志或?qū)徲嫈?shù)據(jù)或其它網(wǎng)絡上可以獲得的信息進行操作，檢測到對系統(tǒng)的闖入或闖入的企圖。入侵檢測不僅可以檢測來自外部的異常，也可以檢測校園網(wǎng)絡內(nèi)部的異常行為，通過安裝入侵檢測系統(tǒng)可以防止來自外部的攻擊和內(nèi)部的攻擊，只要有異常，系統(tǒng)及時發(fā)出報警，網(wǎng)絡管理員及時處理。網(wǎng)絡管理系統(tǒng)實現(xiàn)對校園網(wǎng)絡系統(tǒng)的實施監(jiān)控，監(jiān)控校園網(wǎng)絡的軟件和硬件系統(tǒng)，對網(wǎng)絡進行故障管理、性能管理、安全管理、配置管理等，保證網(wǎng)絡安全可靠正常運行，保護網(wǎng)絡中的資源不被非法入侵和獲取。

2.5合理劃分VLAN

利用交換機、路由器的功能配置把在不同物理位置的計算機根據(jù)功能或部門劃分在同一個邏輯組中，形成一個個虛擬局域網(wǎng)，即VLAN的劃分。高校校園網(wǎng)絡是基于TCP/IP協(xié)議的交換式以太網(wǎng)，校園網(wǎng)絡規(guī)模大、廣播域范圍大、設(shè)備及線路中信息流量大，容易發(fā)生網(wǎng)絡風暴，易導致網(wǎng)絡速度慢。因此，根據(jù)交換機的端口、計算機物理地址或網(wǎng)段劃分VLAN之后，原來較大的廣播域就劃分為一個個小的廣播域，VLAN內(nèi)部的廣播和單播流量不會轉(zhuǎn)發(fā)到其它VLAN中，一個VLAN中的成員也不能訪問其它VLAN中的成員，從而控制了網(wǎng)絡流量，通過合理劃分VLAN和劃分網(wǎng)段，可以防止網(wǎng)絡監(jiān)聽和未經(jīng)授權(quán)的訪問，提高了一些重要部門的信息安全性。

2.6應用VPN技術(shù)

虛擬專用網(wǎng)(VPN)是指通過一個公用網(wǎng)絡(通常是因特網(wǎng))建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡的安全、穩(wěn)定的隧道。它通過“隧道”技術(shù)將數(shù)據(jù)包進行加密和封裝，利用Internet傳輸校園內(nèi)部私有數(shù)據(jù)。部分老師不在校園內(nèi)住宿或在外出差時，可以通過VPN隧道安全的訪問校園網(wǎng)絡數(shù)據(jù)，數(shù)據(jù)不容易被竊取、篡改，提高數(shù)據(jù)的完整性和安全性。

3 結(jié)束語

隨著高校校園規(guī)模的擴大和信息化建設(shè)，師生員工的教學、科研、學習及生活對網(wǎng)絡產(chǎn)生了強烈的依賴性，網(wǎng)絡安全深深地影響了高校各項工作的順利開展。文章從高校的網(wǎng)絡特點出發(fā)分析了目前高校網(wǎng)絡面臨的安全威脅，并提出了解決網(wǎng)絡安全問題的對策和措施，有助于促進校園網(wǎng)絡的安全建設(shè)，確保校園各項工作正常運行。

[1]李彥，高博.高校校園網(wǎng)絡安全分析及防范體系研究.現(xiàn)代教育技術(shù)[J]，2011.

[2]潘小星.高校校園網(wǎng)絡安全分析與解決方案.科技信息[J]，2015.

[3]鄒縣芳.高校校園網(wǎng)絡安全及策略研究.阜陽師范學院學報（自然科學版）[J]，2010.

[4]蔡燕，杜翔.勒索病毒背景下的贛州高校校園網(wǎng)絡安全策略研究.信息與電腦[J]，2017.

云南省教育廳科學研究基金項目（2016ZDX196）。